El 'hacking' dels telèfons mòbils de 65 líders independentistes, advocats i periodistes és el cas de ciberespionatge més important detectat a Europa, però l'ús d'eines digitals que afecten drets i llibertats no és una novetat
El grup d’experts en ciberseguretat Citizen Lab ha posat al descobert el nom de 65 polítics i membres de la societat civil independentista que han estat víctimes del programa Pegasus, dissenyat per l’empresa israeliana NSO per accedir a ordinadors i dispositius mòbils. Hi figuren Artur Mas, l’entorn de Carles Puigdemont, Quim Torra i Pere Aragonès. També han estat objecte de ciberespionatge dirigents de l’ANC i d’Òmnium Cultural com Elisenda Paluzie, Jordi Sànchez o Marcel Mauri, a més d’una trentena de membres de JxCat, d’ERC i de la CUP. El Citizen Lab apunta que hi ha “nexes” entre aquest espionatge i “una o més entitats del Govern espanyol”.
El hacking a líders independentistes no és nou –el 2020 ja es va revelar el cas de Roger Torrent, Anna Gabriel o Ernest Maragall– però sí que ho és la magnitud de la informació recopilada pel Citizen Lab, que ha estat publicada per The New Yorker. El programari utilitzat permet “llegir missatges, accedir a continguts i fins i tot activar en segon pla la càmera o el micròfon d’un telèfon mòbil. Els serveis d’intel·ligència espanyols eren clients del programa Pegasus des del 2015, encara que no s’ha pogut acreditar si l’espionatge era ordenat directament per ells. Aquesta eina informàtica només la poden fer servir els estats. L’expresident Carles Puigdemont i l’exvicepresident Oriol Junqueras han anunciat que presentaran querelles a Bèlgica, Suïssa, Luxemburg, Alemanya i França, els països on el software d’espionatge Pegasus es va fer servir contra l’independentisme.
El denominat Catalangate és el cas de ciberespionatge massiu més important detectat a Europa. Però l’ús de tecnologies de control social i vigilància massiva que poden afectar drets i llibertats no és una novetat, tampoc a Catalunya. En el marc del passat Mobile Social Congress, impulsat pel SETEM, es va presentar un informe elaborat per l’Observatori de Drets Humans i Empreses a la Mediterrània (ODHE) que desgrana quins usos de l’alta tecnologia fan diferents empreses, administracions i cossos policials a l’Estat espanyol amb finalitats de vigilància, així com quines empreses han proporcionat aquests serveis. A més d’esmentar el cas de Pegasus, l’estudi també destaca el rol de diferents start-ups catalanes com Herta Security, Bee the Data o Ctrl4 Enviro en el desenvolupament de tecnologies de reconeixement facial amb finalitats securitàries.
‘Phishing’ policial al moviment per l’habitatge
Una de les pràctiques detectades per l’informe és la infiltració digital en moviments polítics. En concret, es destaca el cas de la suplantació d’identitat en correus electrònics per part, presumptament, d’agents dels Mossos d’Esquadra. A partir d’una investigació de la Directa, es recullen almenys 11 comptes falsificats d’organitzacions polítiques, llocs de reunió comunitària i sindicats d’habitatge, que van enviar almenys 60 correus “amb el clar objectiu de recopilar informació sobre les activitats i els documents interns d’aquestes organitzacions”. Segons la investigació periodística, aquestes falsificacions incorporaven un servei VPN per ocultar la seva procedència, però les adreces IP detectades apuntaven a la Comissaria General dels Mossos d’Esquadra a Sabadell i al Centre de Telecomunicacions i Tecnologies de la Informació de la Generalitat de Catalunya (CTTI).
‘Deep learning’ per saber qui porta la mascareta a la platja de Castelldefels
La vigilància amb eines d’àudio i de vídeo a l’espai públic s’ha especialitzat en els darrers anys. Els circuits tancats de televisió en carrers i places existeixen des de fa dècades, però noves eines permeten analitzar automàticament el contingut de les imatges. En aquest sentit, una nova tecnologia permet a la Policia Local de Castelldefels controlar automàticament “el distanciament social, l’ús adequat de la mascareta i la densitat d’ocupació” a les platges del municipi. Es tracta del Monitor de Distància Social (MDS), una eina desenvolupada per una start-up del Parc de Recerca de la Universitat Autònoma de Barcelona (UAB) anomenada Ctrl4 Enviro. Segons un informe del clúster tecnològic Secpho, aquesta tecnologia també permetria obtenir informació sobre la temperatura corporal de cada banyista.
Empreses catalanes com Herta Security o Bee the Data són pioneres en tecnologies d’anàlisi d’imatges
Altres empreses catalanes són també pioneres en les tecnologies d’anàlisi d’imatges de càmeres de vigilància. Herta Security, que va néixer com un projecte vinculat a la Universitat Politècnica de Catalunya, té la seu a Barcelona i vincles amb més de 50 països. Treballa la seva tecnologia en àmbits com aeroports, estacions de tren, casinos, presons o exèrcits, i recentment també s’ha especialitzat a aplicar aquest reconeixement als controls fronterers. També destaca Bee the Data, una start-up situada al barri Gòtic barceloní que combina intel·ligència artificial i reconeixement facial per ser capaç de “capturar, analitzar i comprendre el comportament humà” i de “detectar les característiques físiques úniques de les persones”.
Reconeixement facial per saber qui se salta classe
El reconeixement facial i la tecnologia biomètrica són eines tan capdavanteres com discutides per a la identificació de persones. Un cas especialment delicat és el de l’Institut Públic Enric Borràs, de Badalona. Tal com recull l’informe i consta a la Guia d’informació educativa de Badalona, l’assistència a classe dels alumnes de primer d’ESO d’aquest centre es controla mitjançant una tecnologia de reconeixement facial. A partir d’aquest sistema, si l’estudiant no ha estat detectat a l’institut, s’envia un missatge automàticament a la seva família. Alguns mitjans, com Business Insider, destaquen que una prova pilot idèntica per part d’una escola sueca va acabar en una sanció de 20.000 € per part de l’agència de protecció de dades del país, que va considerar que això incompleix el reglament europeu en la matèria. La mateixa publicació assenyala que en dues escoles privades catalanes, les de SEK-Catalunya, també s’ha utilitzat aquesta tecnologia per controlar l’accés al menjador. Mercadona també va utilitzar una tecnologia semblant per detectar les persones amb ordres d’allunyament en 40 dels seus supermercats, motiu pel qual ha rebut una multa de 2,5 milions d’euros per part de l’Agència Espanyola de Protecció de Dades.
Xiptic Solucions, amb seu a Vilassar de Dalt, està especialitzada en la comprovació de la presència física de les persones, i va ser l’encarregada de desenvolupar la comprovació d’assistència a l’institut de Badalona. Als Estats Units, grups de drets civils han denunciat que els perfils que generaven tenien un biaix racista, fins al punt que Amazon i IBM van aturar el desenvolupament de la seva eina de reconeixement facial. Malgrat que alguns d’aquests exemples existien prèviament a la Covid-19, el context pandèmic ha permès la seva expansió en països com l’Estat espanyol, segons els investigadors. De fet, l’informe recull que el Ministeri de l’Interior va aprovar al juliol del 2020 un conveni per “instal·lar càmeres de reconeixement facial a l’entrada d’estadis, de sales de concerts i d’altres grans recintes de tot Espanya”.
Càmeres que detecten barrets, ulleres i bosses al passeig de Gràcia
L’informe incorpora un altre exemple de detecció i anàlisi de comportament en dispositius de videovigilància, i alerta d’“una invasió cada cop més pronunciada a les llibertats civils, com el dret a la privadesa i a la mobilitat”. Barcelona és un dels escenaris d’aquests canvis. En el marc d’un programa per a la protecció de l’espai públic davant d’”amenaces terroristes i altres incidents crítics”, la Guàrdia Urbana de la ciutat ha incorporat un sistema de 17 càmeres d’ultraalta definició al passeig de Gràcia.
Les càmeres del passeig de Gràcia detecten el “gènere, l’edat, el tipus de roba i el color de roba” de tothom que hi passa
Segons el plec de condicions del contracte, aquestes càmeres han de ser capaces de determinar el “gènere, l’edat, el tipus de roba i el color de roba” de tothom que passa pel passeig de Gràcia, així com els seus “barrets, ulleres, motxilles i bosses”, i poder fer una “detecció de la zona de la cara”. Les càmeres també han de poder classificar entre tipus de sons, i preveure la direcció i el moviment de les persones. La Directa també va destapar l’ús de tecnologia de reconeixement facial en diversos carrers de Ciutat Vella, però posteriorment aquest va quedar encallat per problemes burocràtics en la contractació.
Autor: Manel Riu
Imatge: Captura de pantalla de la web del Citizen Lab sobre el 'Catalangate'.
Article anterior sobre Pegasus d'Amnistia Internacional: España: La Unión Europea debe actuar para poner fin a los abusos con software espía, después de que destacadas figuras catalanas hayan sido atacadas con Pegasus on hi ha més articles del tema al final.